Надзорные рекомендации, применимые к критическим источникам услуг
Операционная надежность ИФР может зависеть от бесперебойного и адекватного функционирования источников услуг, которые являются критическими для операций ИФР, таких как источники услуг по информационным технологиям и обмену сообщениями. Органы регулирования или надзора за деятельностью ИФР могут определять рекомендованные стандарты оказания критических услуг ИФР источниками услуг для обеспечения общей безопасности и эффективности ИФР. Эти рекомендованные стандарты должны способствовать соблюдению источником критических услуг таких же стандартов, которых придерживается ИФР при оказании своих услуг. Описанные далее рекомендованные стандарты предназначены именно для источников критических услуг и включают выявление рисков и управление ими, обеспечение информационной безопасности, надежности и способности к восстановлению нормального функционирования, эффективное технологическое планирование и устойчивую связь с пользователями. Рекомендации по этим стандартам носят общий характер, что обеспечивает источникам критических услуг возможность гибкого подтверждения соблюдения ими рекомендованных стандартов.
1. Выявление риска и управление им
Источнику критических услуг рекомендуется выявлять и осуществлять управление существенными операционными и финансовыми рисками, присущими оказываемым им критическим услугам, и обеспечивать эффективность процессов управления этими рисками.
Источник критических услуг должен иметь эффективные процессы и системы для выявления и документального подтверждения рисков, применения средств контроля в целях управления рисками и принятия решений о приемлемости определенных рисков. Источник критических услуг может подвергаться рискам, связанным с информационной безопасностью, надежностью и способностью к восстановлению нормального функционирования и технологическим планированием, а также юридическими и нормативными требованиями, относящимися к его корпоративной структуре и поведению, отношениям с клиентами, стратегическим решениям, влияющим на его способность работать как действующее предприятие, и зависимости от третьих сторон. Для уменьшения выявленных рисков источник критических услуг должен проводить постоянную переоценку своих рисков и адекватности своей системы управления рисками.
Выявление рисков и управление ими должны осуществляться под контролем совета директоров (совета) источника критических услуг и оцениваться независимым подразделением внутреннего аудита, которое доводит результаты своей оценки до сведения соответствующих членов совета. При этом предполагается создание советом независимого и профессионального подразделения внутреннего аудита. Деятельность подразделения внутреннего аудита должна подвергаться анализу, чтобы обеспечить соблюдение им принципов профессиональной организации, регулирующей практику и проведение аудита (например, Института внутренних аудиторов), и возможность независимой оценки рисков, а также структуры и эффективности процессов управления риском и средств внутреннего контроля. Кроме того, подразделение внутреннего аудита должно обеспечивать доведение результатов своих оценок до сведения соответствующих членов совета.
2. Информационная безопасность
Источнику критических услуг рекомендуется вырабатывать и применять надлежащие принципы и процедуры и выделять достаточные ресурсы для обеспечения конфиденциальности и целостности информации, а также доступности оказываемых им критических услуг в целях выполнения условий его соглашения с ИФР.
Источник критических услуг должен иметь надежную систему обеспечения информационной безопасности, позволяющую надлежащим образом управлять рисками, которым подвергается его информационная безопасность. Эта система должна быть основана на надежных принципах и процедурах для защиты информации от несанкционированного разглашения, сохранения целостности данных и обеспечения доступности услуг. Кроме того, источник критических услуг должен определять принципы и процедуры контроля за соблюдением установленных им правил информационной безопасности. Система также должна включать принципы планирования пропускной способности и методы управления изменениями. В частности, источник критических услуг, который планирует внести изменения в операции, должен оценивать последствия таких изменений для своей информационной безопасности.
3. Надежность и способность к восстановлению нормального функционирования
Источнику критических услуг рекомендуется применять надлежащие принципы и процедуры и выделять достаточные ресурсы для обеспечения доступности и надежности оказываемых им критических услуг и способности к восстановлению нормального функционирования. Поэтому разработанные им планы непрерывности деятельности и ликвидации последствий чрезвычайных ситуаций должны обеспечивать своевременное возобновление оказания критических услуг в случае выхода из строя, чтобы оказываемые услуги соответствовали условиям его соглашения с ИФР.
Источник критических услуг должен обеспечить надежное оказание услуг пользователям и способность к восстановлению нормального функционирования независимо от того, оказываются ли услуги непосредственно ИФР или как ИФР, так и ее участникам. Источник критических услуг должен осуществлять надежное функционирование, удовлетворяющее или превышающее потребности ИФР. Все операционные происшествия должны регистрироваться и доводиться до сведения ИФР, а также органа регулирования или надзора за деятельностью ИФР. Источник критических услуг должен незамедлительно анализировать происшествия, чтобы предотвратить их повторение, которое может иметь значительно более серьезные последствия. Кроме того, источник критических услуг должен иметь надежные планы непрерывности деятельности и ликвидации последствий чрезвычайных ситуаций. Эти планы должны включать плановое тестирование непрерывности деятельности и анализ результатов этого тестирования для оценки риска возникновения серьезного нарушения в работе.
4. Технологическое планирование
Источнику критических услуг рекомендуется применять надежные методы планирования на протяжении всего жизненного цикла используемых технологий, а также выбора технологических стандартов.
Источник критических услуг должен осуществлять эффективное технологическое планирование, позволяющее уменьшать общий операционный риск и повышать эффективность операций. Планирование подразумевает наличие комплексной стратегии в области информационной технологии, которая учитывает весь жизненный цикл используемых технологий, а также процесса выбора стандартов при оказании услуг и управлении ими. В том случае, если источник критических услуг намерен внести изменения, он должен проводить с ИФР, а при необходимости и ее участниками, подробные и полные консультации. Источник критических услуг должен регулярно анализировать свои технологические планы, в том числе проводить оценку своих технологий и процессов, используемых им для внесения изменений.
5. Связь с пользователями
Источнику критических услуг рекомендуется обеспечивать прозрачность для своих пользователей и предоставлять им достаточную информацию, позволяющую четко понимать свои роли и обязанности в области управления рисками, связанными с использованием ими источника критических услуг.
Источник критических услуг должен применять эффективные процедуры и процессы связи с клиентами. В частности, источник критических услуг должен предоставлять ИФР, а при необходимости и ее участникам, достаточную информацию, позволяющую четко понимать свои роли и обязанности в области управления рисками и надлежащим образом управлять своими рисками, связанными с используемыми услугами. Как правило, полезная информация для пользователей включает, не ограничиваясь этим, информацию о процессах управления и средствах контроля источника критических услуг, а также независимых проверках эффективности этих процессов и средств контроля. В составе своих процедур и процессов связи источник критических услуг должен предусмотреть механизмы проведения с пользователями и рынком в целом консультаций по вопросам всех технических изменений его операций, которые могут повлиять на уровень и виды его рисков, включая отсутствующие или неработающие средства контроля рисков. Кроме того, источник критических услуг должен иметь план связи в кризисных ситуациях, вызванных операционными нарушениями в оказании его услуг.